专家表示混合云复杂性以及急于采用会带来安全风险
急于采用托管云计算基础设施以及内部部署系统的企业可能无法完全理解或解决潜在的安全威胁。
随着越来越多地采用云计算技术,企业也遇到了各种新的潜在威胁,这些威胁来自于各种基于云计算技术的快速且频繁的部署。云计算安全咨询机构Trimarc公司创始人Sean Metcalf表示,企业对混合云技术的采用尤其关注。
混合云是内部部署基础设施与云计算托管基础设施和服务的结合。IaaS提供商通常是云计算行业巨头(例如AWS、微软Azure或谷歌云)。Metcalf表示,企业将内部部署数据中心扩展到云平台中,基本上意味着云平台可以作为VMware或Microsoft Hyper V等虚拟化主机有效运行。
由于这种有效的虚拟化,与这些云计算数据中心元素相关的任何攻击都类似于对VMware和Hyper V的攻击方式,但是这些可能是由Microsoft、AWS,或者是谷歌云托管的。
这些托管巨头的托管基础设施都有不同的功能和配置,这使得保护这些基础设施的安全对企业来说更加复杂。这些复杂性对于大型组织尤其如此,因为大型组织通常具有跨多个云计算服务器安装的虚拟机(VM)实例。Metcalf表示,采用多个云计算提供商的服务对于企业来说很常见,因为任何人都可以注册云订阅或云帐户,这意味着企业的业务部门都可以设置自己的订阅或帐户和租户。
当将混合云的其他选择(例如Salesforce或Workday或Office 365)考虑在内时,其面临的挑战会越来越多。这些SaaS元素中的每一个都有自己的要求,并使用在内部部署环境中配置的同步工具。来自内部部署基础设施(通常是Active Directory)的大量信息通常是出现在云计算环境中,Active Directory是Windows域网络的目录服务。
Metcalf说:“其存在挑战是有道理的,但这些连接点往往有一些有趣的安全权衡,这些权衡往往不太常见或没有被很好地理解。”例如,网络攻击者可能会从Active Directory危害到域控制器,而域控制器是托管Active Directory身份和身份验证系统的服务器。这成为网络攻击者的主要攻击目标。
急于采用云计算需要强调IT团队的安全性
组织急于向云迁移增加了IT团队的安全负担。Metcalf说:“在通常情况下,组织的运营团队和安全团队都会被这种方法拖累。业务主管表示,这就是他们前进的方向。”
混合云环境中的另一个大问题是身份和访问管理(IAM),要确保用户只能访问他们应该访问的那些系统元素,即使在最佳情况下,这对企业也是一个长期的挑战。Metcalf说:“人们通常没有意识到的另一件事是,无论是谁首先在云计算提供商那里创建租户、订阅或帐户,都会保留管理员权限。当他们在混合云环境中运行所有负载时,服务器管理员通常会获得所有内容的完全权限。AWS、Azure和谷歌云平台各自以不同的方式管理访问角色,因此很多组织通常急于让它完成,因为需要完成的时间表。这样做有可能出错,因为这些角色通常会被过度授权。”
技术团队需要支持以了解混合云
除了这些潜在的安全隐患之外,很少有人真正了解云计算环境。Metcalf说:“当人们谈论云计算技术,并计划转移到云平台时,这首先是一件非常复杂的事情,因为云计算对很多人来说都是新事物,并且每周或每月都会改变。跟上其变化是一项很广泛的工作,但至少是可以做到的。”
因此,Metcalf建议企业确保员工、技术人员(包括运营和安全人员)获得他们所需的支持,以更好地了解云计算环境。Metcalf建议,在提供这一支持的同时,确保所有管理员帐户都通过云计算提供商配置了多因素身份验证或任何相关系统。他指出,在2019年收集的数据表明,不到8%的管理员使用多因素身份验证进行云访问。如果不可用,要求供应商使其可用,因为这是减轻网络攻击者控制该帐户可能性的好方法。
让云计算管理脱离生产工作站
另一个关键建议是,确保环境中的用户工作站不会执行任何管理活动或任务。这样一来,网络攻击者就更难于提取或破坏用于组建管理部门的身份。大多数组织中配置的典型工作站都没有得到足够好的保护,以防止网络攻击者进行破坏。组织必须确保这些特权凭证受到良好的保护,并且与用户在系统上进行活动的正常方式隔离开来。
云计算的管理通常涉及Web浏览器。Metcalfe说,“我们知道Web浏览器并不是大多数系统上最安全的应用程序。但是,管理员通常会使用这些Web门户,这意味着他们很可能只是在打开Firefox或Chrome并进行管理,这有很大的风险。”